Queridos Reyes Magos, este año …

rrmm_orientePor Daniel A. López Carballo

Se acerca el final del año y es momento de echar la vista atrás, hacer balance y establecer los propósitos del 2015.

2014 ha sido un año lleno de acontecimientos en el ámbito de la privacidad y la protección de datos. En mayo conocíamos la importante Sentencia del Tribunal de Justicia de la Unión Europea relativa al derecho al olvido, su aplicación real y los límites. En junio la Superintendencia de Industria y Comercio de Colombia celebraba el II Congreso Internacional de Protección De Datos.

En septiembre conocíamos las conclusiones del análisis coordinado sobre las condiciones de privacidad de las aplicaciones móviles por parte de la Red GPEN en la que participó la Agencia Española de Protección de Datos, y ese mismo mes, las Autoridades europeas de protección de datos aprobaban el primer Dictamen conjunto sobre Internet de las cosas.

En octubre tenía lugar la 36ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad y la Agencia Española presentaba su Guía para una Evaluación de Impacto en la Protección de Datos Personales tras un periodo de consulta pública del Borrador inicial. El final del año vino marcado por los criterios comunes para aplicar la sentencia sobre el derecho al olvido de las Autoridades europeas de protección de datos y el XII Encuentro Iberoamericano de Protección de Datos Personales celebrado en México. En diciembre se desarrollaban las Jornadas de trabajo en Honduras, organizadas por el Instituto de Acceso a la Información Pública, en aras a seguir avanzando en su futura normal nacional e protección de datos.

En 2014 conocíamos la composición del Consejo Asesor de Google para aplicar el derecho al olvido, y se comenzaban a avanzar los criterios que se irían aplicando. Sin duda, en el plano internacional son muchas las noticias que se han producido en el ámbito de la protección de datos, unido a la intensa actividad del Article 29 Working Party, y al avance de la tramitación del futuro Reglamento Europeo de Protección de Datos, un camino lento pero seguro, que esperemos de sus frutos el año que comienza.

En el plano institucional Juan Cruz González Allonca era nombrado nuevo Director Nacional de Protección de Datos Personales en Argentina, en México eran nombrados los nuevos Comisionados del IFAI y elegida Ximena Puente de la Mora como Comisionada Presidenta del IFAI para el período 2014-2017 y Mauricio Garro Guillén era designado nuevo Director Nacional de la Agencia de Protección de Datos de los Habitantes de Costa Rica.

En el plano normativo, son muchos los países que han seguido completando su desarrollo legislativo sobre protección de datos (sírvase de ejemplo Costa Rica, Perú o Colombia), otros países como México y Chile han comenzado sus procesos de reforma y revisión normativa para la elaboración de nuevas normas. Honduras comenzaba la socialización de su Anteproyecto de Ley, con la clara intención de unirse al grupo de países que cuenta con normativa específica, un camino que en breve será iniciado por otros como Ecuador.

Por su parte los Tribunales de Justicia han dictado sentencias relevantes y esta jurisprudencia ha sentado las bases sobre determinados conceptos en las normativas nacionales, aportando más luz sobre el ámbito de la protección de datos su alcance y contenido. Cabe destacar las Sentencias del TJUE de 13 de mayo (derecho al olvido) y 8 de abril (retención de datos) y la Sentencia 2844/2014 de la Sala de lo Penal de Tribunal Supremo de 16 de junio de 2014 para el caso de España.

Conceptos como big data, privacy by design, wearables, PIAS, han ido asentándose en la terminología jurídica de esta rama del derecho, que sigue avanzando y que evidencia el impulso que aún se debe acometer para una protección efectiva de la privacidad.

La actividad de la iniciativa del Observatorio tampoco se ha quedado atrás, ya hemos pasado el centenar de colaboradores que comparten sus conocimientos y experiencia, de forma altruista, con la comunidad iberoamericana, teniendo presencia en la totalidad de países de Iberoamérica. Actualmente la web cuenta con 665 entradas a lo largo de este tiempo, que aportan calidad y generan debate y conocimiento en la sociedad.

Se han superado las doscientas mil visitas desde la creación de la web y, en redes sociales el número de seguidores sigue aumentando cada día.

Se presentó la Declaración de Riobamba en Ecuador en el primer trimestre del año. Diferentes medios especializados se hacen eco de la iniciativa de las Declaraciones. En julio de 2014 se presentó la Declaración de Ciudad de Panamá, hacia la unificación de criterios y garantías para la protección de la identidad digital y el derecho al olvido, en el Colegio Nacional de Abogados de Panamá. Durante esos meses se ha recibido el apoyo de instituciones como la Agencia de Protección de Datos de los Habitantes de Costa Rica. En agosto era presentada la Declaración de México D.F., hacia la implantación de garantías para la privacidad en los tratamientos de Big Data, en el transcurso de la Jornada académica de protección de datos personales en Internet, dentro de la bienvenida para los alumnos de la cuarta generación de la Maestría en Derecho de las Tecnologías de la Información y Comunicación de INFOTEC, en la ciudad de México Distrito Federal.

Es momento de mirar al año que está a punto de comenzar y los retos que se presentan en el ámbito de la privacidad. Un año que estará marcado por la entrada en la recta final de la aprobación de la nueva norma europea, y los desarrollos legislativos que se aprueben en México, Chile y Honduras entre otros.

2015 sin duda será un año crucial en materia de protección de datos, donde la iniciativa seguirá aportando contenidos, generando debate y poniendo su granito en la generación de cultura de privacidad.

Termina esta segunda temporada de la iniciativa y en breve empezaremos una nueva temporada, con nuevas ideas, secciones, colaboradores y artículos. Mientras aprovecho para desearos a todos unas felices fiestas navideñas, así como una feliz despedida del 2014 y entrada del nuevo año. El deseo de que 2015 cumpla vuestras expectativas, personales y profesionales, que sigamos construyendo un sistema internacional que garantice la efectiva protección de la intimidad, la privacidad y el honor de las personas, la seguridad de la información y. el avance económico y social en base a estos principios y derechos.

Sobre el horizonte de la normativa de protección de datos en Honduras

amanacer_tegus

Por Daniel A. López Carballo

A principios de 2014 comenzaba la socialización de la propuesta de texto del “Anteproyecto de Ley de Protección de Datos Personales y Acción de Habeas Data” en Honduras, que el Instituto de Acceso a la Información Pública (IAIP) elaboró con el apoyo de la Agencia Española de Cooperación Internacional para el Desarrollo (AECID). Honduras avanza en este ámbito con un texto adaptado a las nuevas tendencias normativas, buscando una protección efectiva de la intimidad de las personas, de su derecho al honor, la propia imagen y la privacidad.

Aunque la Constitución de 1982 recoge en sus artículos 76 la garantía al derecho al honor, a la intimidad personal, familiar y a la propia imagen, y 182 el derecho fundamental de acceso a la información pública y privada, así como la garantía constitucional de habeas data: “El Estado reconoce la garantía de Habeas Corpus o Exhibición Personal, y de Habeas Data”, quedaba pendiente un desarrollo normativo propio en materia de protección de datos, siguiendo la tendencia del resto de países iberoamericanos y su acción legislativa.

Cada vez son más los países que han desarrollado normas específicas sobre esta rama del derecho (México, Argentina, Costa Rica, Colombia, Chile, Perú, Nicaragua, Uruguay, entre otros), una tendencia avalada por la propia Organización de Estados Americanos, que apuesta por una unificación de criterios normativos y  de seguridad respecto al tratamiento de datos personales. En este mapa normativo internacional, el Instituto de Acceso a la Información Pública, da un paso más, proponiendo una regulación específica de este derecho.

Según se hacían eco los medios hondureños, para Doris Imelda Madrid, Comisionada Presidenta del Instituto hondureño, con la futura norma, “lo que se va a regular y buscar es el equilibrio de quienes manejen bases de datos públicos y privados tengan un control, una protección de esa información que manejan, como por ejemplo el Registro Nacional de las Personas, la Empresa Nacional de Energía, las compañías telefónicas y otras. Nadie quiere que se sepa nuestra información, porque es parte de nuestra intimidad”.

La propuesta de Anteproyecto se ha elaborado tomando como base la Resolución 45/95 Principios Rectores para la Reglamentación de los Ficheros Computarizados de Datos Personales, la Directiva Europea 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, así como los diferentes documentos elaborados en el seno de la Red Iberoamericana de Protección de Datos, en concreto la Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal. Además, se han tenido en cuenta los estándares internacionales en materia de protección de datos, así como el análisis de normas comparadas (Colombia, Costa Rica, España, México y Uruguay).

Aunque en posteriores artículos seguiremos desgranando el contenido concreto del Anteproyecto, analizando su tramitación, opiniones e influencia en la sociedad hondureña, así como las modificaciones que se puedan ir produciendo, a continuación reseñamos algunas ideas fuerzas del texto elaborado por el Instituto de Acceso a la Información Pública elaboró con el apoyo de la Agencia Española de Cooperación Internacional para el Desarrollo, en enero de 2014.

Se reconoce el derecho fundamental de las personas a su intimidad, a su honra y al reconocimiento de su dignidad, a que nadie sea objeto de injerencias arbitrarias o ilegales en su vida privada, la de su familia, ni ataques a su reputación, así como el derecho a la autodeterminación informativa de las personas.

La futura norma sería de aplicación a los datos personales registrados en bases de datos automatizadas o manuales, de organizaciones del sector público y privado, excluyendo las bases de datos mantenidas por personas naturales en el ejercicio de actividades personales o domésticas, las que tengan por objeto la seguridad pública, defensa, seguridad del Estado, materia penal e investigación de delitos, así como al creadas por leyes especiales y los archivos y datos de información periodística.

Aquellos que estén obligados a su cumplimiento deberán garantizar el pleno derecho y efectivo ejercicio del derecho fundamental de protección de datos, informar sobre la finalidad de la recolección y derechos, así como cumplir con las obligaciones relativas al aviso de privacidad, conservar la información bajo condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado. El tratamiento de datos deberá regirse por los principios de lealtad y legalidad, exactitud finalidad, acceso a la información, consentimiento, no discriminación, seguridad y responsabilidad.

Así mismo, en la propuesta, se reconoce el derecho de las personas frente a la recolección de sus datos, debiendo ser informado, previamente de forma expresa, precisa e inequívoca mediante un aviso de privacidad, que deberá contener, al menos, la identidad y domicilio del Responsable que recoge los datos, las finalidad del tratamiento y posibles destinatarios, las opciones y medios que Responsable ofrezca a los titulares para limitar el uso o divulgación de los datos, las consecuencia de proporcionar datos u de la negativa de hacerlo o su inexactitud, las transferencias de datos que pudieran realizarse, los medios para ejercitar los derechos de acceso, rectificación, eliminación u oposición. En este sentido, al igual que ocurre en otros artículos del texto, encontramos influencias de otras normas, como la Ley Orgánica 15/1999, de 13 de diciembre, en lo referente al derecho de información en la recogida de los datos (artículo 5 de la norma española).

Se establecen excepciones cuando los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación; cuando se recaben para el ejercicio de funciones propias del Estado o en virtud de una obligación legal; se trate de listados cuyos datos se limiten en el caso de personas naturales a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento; deriven de una relación contractual, científica o profesional del Titular de los datos y sean necesario para su desarrollo o cumplimiento; se realice por personas naturales o jurídicas, privadas o públicas su uso exclusivo personal o doméstico.

Al igual que ocurre con otras normas sobre protección de datos en las diferentes legislaciones nacionales, se reconocen cuatro derechos a las personas sobre sus datos: acceso, rectificación, eliminación y oposición; además del derecho referente a la transferencia de datos y el derecho de indemnización.

Las entidades y sujetos obligados por la futura norma, deberán implementar un manual de políticas y procedimientos e informar al Instituto de Acceso e Información Pública cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información, cumpliendo con las instrucciones y requerimientos del Instituto.

El Responsable del Tratamiento deberá adoptar las medidas de seguridad, técnicas y organizativas, necesarias para garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado. En este sentido, no se podrán registrar datos en bases de datos que no reúnan las condiciones que garanticen dicha seguridad, y que no cuenten con mecanismos de seguridad física y lógica.

El Manual de políticas y procedimientos nace como un compromiso vivo, que deberá ser implementado por aquellos que tengan funciones de recolección, almacenamiento, y manejo de los datos personales. Para ser válido, deberá ser inscrito, así como sus modificaciones ante el Instituto de Acceso e Información Pública. Este concepto conlleva un mayor compromiso del Responsable del Tratamiento, así como la posibilidad de un mayor seguimiento por parte de la Administración, aportando mayores garantías de transparencia a los propios ciudadanos sobre el tratamiento de sus datos.

En el texto de la propuesta de Anteproyecto, se establecen categorías especiales de datos, entre los que se incluye los datos sensibles, como aquella información que revele el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, así como los relativos a la salud, vida sexual y datos biométricos entre otros. Fijándose, además, criterios sobre el tratamiento de datos relativos a las telecomunicaciones y los relativos a bases de datos con fines publicitarios.

El Anteproyecto elaborado por el Instituto hondureño, se completa con la regulación de las Transferencias de datos, haciendo especial hincapié en el consentimiento de las personas; los requisitos para la creación de bases de datos del Sector Público y del Sector Privado; disposiciones especiales aplicables a determinados ámbitos; el establecimiento de mecanismos de vigilancia y control, la tipificación de infracciones así como el régimen sancionador aplicable (junto con las sanciones administrativas se reconoce el derecho de indemnización cuando el titular de los datos considere que ha sufrido daño o lesión en sus bienes o derechos como consecuencia de incumplimiento legal, pudiendo ejercitar los derechos pertinentes para obtener la indemnización que proceda); así como el posible establecimiento de cánones, tanto para la regularización y administración de las bases de datos, la comercialización de consulta (un concepto que ya se viene aplicando por otras Instituciones europeas como  la Comissão Nacional de Protecção de Dados de Portugal).

Por último el Título X del Anteproyecto, aporta luz y clarifica lo dispuesto en la propia Constitución y la Ley sobre Justicia Constitucional hondureña, proponiendo “un esquema procesal para interponer el recurso de Hábeas Data” que complemente la citada normativa, previa modificación de la Carta Magna hondureña y la Ley Sobre Justicia Constitucional, elevando la protección y garantizando los derechos de las personas sobre sus datos, su privacidad y su honor

Con el texto elaborado en enero de 2014 se inició el camino para aprobar una norma que aportará seguridad jurídica tanto a los ciudadanos hondureños sobre el tratamiento de sus datos, como a las propias empresas e instituciones que traten dichos datos, tanto en el territorio nacional como en terceros países. Tras el proceso de socialización y mejora, el propio Instituto de Acceso a la Información Pública, tendría la intención de que la propuesta se pudiera enviar al Congreso Nacional a través del mecanismo de iniciativa ciudadana en el 2015, según informaba el propio Instituto a través de su página web.

La futura aprobación y adopción de una norma de estas características no es un asunto baladí, como iremos analizando en posteriores artículos, el clima de seguridad y transparencia que se genere tendrá una clara incidencia en la propia economía nacional, la generación de confianza en los usuarios e inversores, en el establecimiento de empresas en tierras catrachas, así como la expansión de las propias hondureñas. Un gran paso que evidencia, más si cabe, el importante momento de cambio y modernización que está llevándose a cabo en nuestra querida Honduras.

Artículo publicado originariamente por el autor en el Diario El Heraldo.

El derecho a la información y la protección de los datos personales. Dos valores complementarios: el caso mexicano

mexico_pd

Por Aristeo García González

Acceso a la información y protección de datos en México.

La protección de datos personales en México hasta hace algunos años había sido una tarea pendiente por parte del legislador mexicano. En el año del 2007 se reabriría un viejo debate por virtud de la reforma al Artículo 6º de la Constitución Política de los Estados Unidos Mexicanos[1] –en adelante, Constitución Mexicana– y, en donde por primera vez se incorporaría una mención expresa a los datos personales[2].

Sin embargo, con dicha incorporación se aludiría más a una “garantía institucional” que al reconocimiento de un nuevo derecho, como lo es la protección de los datos personales. En virtud de que se trataba más bien de un mandato al legislador, quien a partir de él es que debería proteger otros bienes jurídicos, entre los que se encontraban los datos personales[3].

En un sentido lato y, previo a dicha reforma de 2007 se había incorporado en la parte última del citado artículo constitucional el siguiente texto: el “derecho a la información será garantizado por el Estado” allá por 1977[4].

A partir de entonces, es que se vendrían a reformular las libertades tradicionales de expresión e imprenta, con la firme intención de adaptarlas a la situación actual, constituyendo así, el moderno contenido (reciente) del derecho a la información[5]. Ya que a partir del derecho a la libertad de expresión –donde todo individuo tiene el derecho a la libertad de opinión y expresión, y comprende el derecho a no ser molestado, el de investigar y recibir informaciones y opiniones, sin limitación de fronteras, por cualquier medio de expresión– se iba a desprender su contenido.

Fue entonces que en 1977, en México, el derecho a la información había nacido para atribuir potestad a los partidos políticos para que estos pudieran acceder a los medios de comunicación[6]. Posteriormente, este mismo derecho adquiriría un matiz social, y consecuentemente un carácter individual.

En palabras de LÓPEZ AYLLÓN, el derecho a la información comprende tres facultades interrelacionadas: la de buscar (investigar), de recibir o difundir informaciones, opiniones o ideas[7]. En lato sensu viene a constituir una “prerrogativa fundamental” en donde toda persona posee a: atraerse información, a informar y a ser informado”[8]. Es decir, se está frente a una potestad o facultad que el Estado reconoce u otorga a sus gobernados[9].

De donde se desprende que, frente al acto concreto de una autoridad, debe establecerse la relación con el gobernado y sí este acto arbitrario vulnera directamente el derecho de informar o el de estar informado, se estará ante a un derecho fundamental –derecho a la libertad de información– y si se requiere de la implementación de una serie de medidas a través de la legislación ordinaria, se estará frente a uno de carácter social derecho de acceso a la información pública–.

Mientras que, a nivel jurisprudencial el Alto Tribunal Mexicano –Suprema Corte de Justicia de la Nación– aunque con alguna imprecisión identificaría, por un lado, a la información como un derecho en sentido lato, manifestando que se trataba de “… un derecho fundamental que toda persona posee para atraerse información, informar y a ser informado”. Por su parte, el acceso a la información pública dicho tribunal señalo que lo era derecho en strictu sensu, toda vez que se trataba de una prerrogativa estrechamente vinculado con el derecho a conocer la verdad y como todo derecho se halla sujeto a limitaciones[10].

A lo que la propia Suprema Corte de Justicia de la Nación mexicana, agregaría lo siguiente: “puesto que sí el Derecho a la información es una garantía social, correlativa a la libertad de expresión, […] que consiste en que el Estado permita el que, a través de los diversos medios de comunicación, se manifiesten de manera regular la diversidad de opiniones de los partidos políticos”, por lo que una definición del citado derecho, en palabras de la Corte de Justicia “ […] queda a la legislación secundaría”, concluye manifestando “ que no se pretendió establecer una garantía individual consistente en que cualquier gobernado, en el momento en que lo estime oportuno, solicite y obtenga de órganos del Estado determinada información […], es decir, el derecho a la información no crea a favor del particular la facultad de elegir arbitrariamente la vía mediante la cual pide conocer ciertos datos de la actividad realizada por las autoridades, sino que esa facultad debe ejercerse por el medio que al respecto se señale legalmente[11].

Con base en lo anterior, se puede destacar que, el Alto Tribunal Mexicano al tratar de identificar el derecho a la información con el derecho de acceso a la información pública, dejaría esta tarea para que sea la normativa sectorial la encargada en especificar y desarrollar el segundo de los preceptos, tal como aconteció con la aprobación de la Ley Federal Transparencia y Acceso a la Información Pública Gubernamental (LFTAIP)[12].

Siendo uno de los objetos de la LFTAIP el garantizar la protección de los datos personales que estén en posesión de sujetos públicos, sin embargo, en la misma no se alude a los datos personales que obren en poder de los particulares. Para ello, se aprobó una legislación diferente a la ya citada[13].

De ahí que, la protección de datos personales, en un principio, al constituirse como un límite al derecho de acceso a la información y, dada la necesidad de proteger la privacidad de los ciudadanos por virtud del uso vertiginoso de las tecnologías de la información, posteriormente sería incorporado al texto constitucional como un derecho fundamental, con contenido propio.

Del derecho a la información a la protección de los datos personales como derechos fundamentales: Origen y desarrollo.

La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG)[14], contiene los criterios a partir de los cuales puede ejercerse el derecho de acceso a la información pública en México.

Sin embargo, tras su aprobación en el año 2002 y, luego de que todos los Estados aprobaran sus propias leyes en la materia, iba iniciarse un nuevo camino, toda vez que los requisitos que en ellas se recogían iban a variar de un Estado a otro, lo cual originó que se planteará nuevamente en el año 2007 una nueva reforma al artículo 6º del texto constitucional, esto es, la adición de varios numerales, entre los que se encontraba la protección de los datos personales como una limitante al ejercicio del derecho de acceso a la información.

Tras un largo camino, sería calificada como histórica, no solo porque a partir de ella se inscribe un antes y un después el derecho a la información, sino porque además estaba contribuyendo al reconocimiento de lo que más tarde sería conocido como el derecho a la protección de los datos personales.

Dicha reforma fue publicada el 20 de julio de 2007 en el Diario Oficial de la Federación y tuvo como objetivo el dotar de unas herramientas jurídicas a todas las personales para que estas pudieran ejercer el derecho de acceso a la información pública en el sentido más amplio del término. Pues como se había manifestado el derecho a la información que se recogía en el citado precepto constitucional era bastante escueta. Ahora con esta reforma se iban a establecer las condiciones mínimas que aseguran el derecho a toda persona para que tenga acceso a la información pública, lo cual se haría en los siguientes términos:

“… Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases:

  1. Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo federal estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público en los términos que fijen las leyes. En la interpretación de este derecho deberá prevalecer el principio de máxima publicidad.
  2. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.
  • Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos.
  1. Se establecerán mecanismos de acceso a la información y procedimientos de revisión expeditos. Estos procedimientos se sustanciarán ante órganos u organismos especializados e imparciales, y con autonomía operativa, de gestión y de decisión…”

Cabe destacar, que con dicha reforma se recogería por primera vez una alusión expresa al término datos personales, el cual se iba convertir en el referente para su posterior reconocimiento como un derecho fundamental dentro del artículo 16 del texto constitucional mexicano.

Sin embargo y, en sus inicios se iba a constituir como una “garantía institucional”, es decir, se trataba más bien de un mandato al legislador, que de un derecho fundamental, a partir del cual debían protegerse otros bienes jurídicos, entre los que se encontraban los datos personales[15], por lo que su protección se llevaría a cabo en base a los “términos y con las excepciones que fijen las leyes”, las cuales se encontraban recogidas en el marco de la LFTAIPG. Razón por la cual, la alusión a la protección de los datos personales que se había recogido en la Constitución, no era la de un derecho fundamental, sino el de una garantía institucional de la que el legislador no podía desentenderse.

Este sería el argumento que llevaría al legislador mexicano a plantearse la necesidad de elevar a rango constitucional un derecho que estuviera acorde con los tiempos modernos de la sociedad, en este caso, se trataba del reconocimiento del derecho a la protección de los datos personales, como una prerrogativa fundamental. El cual llegaría tras una reforma constitucional, pero esta vez en el marco de un precepto constitucional distinto en el cual, se habían recogido sus primeras referencias. Pues ahora, se trataba de derecho que mantenía una relación con la privacidad de las personas, más que con el derecho de acceso a la información pública.

Fue entonces que el pasado 5 de julio del 2010, se expide en México la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDP), con la cual se estaba dando cumplimiento al mandato constitucional recogido en el marco del artículo 73, fracción XXXIX-O que a la letra señala: “El Congreso de la Unión tiene facultades para legislar en materia de protección de datos personales en posesión de particulares”[16].

Ya que anteriormente, los datos personales —no como derecho fundamental— en México sólo se encontraban garantizados en base a lo establecido en la LFTAIPG[17], es decir, sólo se protegían aquellos datos que estaban en posesión de cualquier autoridad, entidad, órgano y organismo federal, estatal y municipal[18].

Tras la aprobación de la Ley Federal de Protección de Datos Personales en México, se venía a llenar el vacío legislativo que a nivel federal existía en esta materia, el cual había comenzado a ser llenado por algunos Estados, quienes desde hace algún tiempo habían comenzado a aprobado su propia ley en esta materia, como en el caso de los Estados de Colima[19] y Tlaxcala[20]. Mientras que, Estado como el Distrito Federal[21], Guanajuato[22] y Oaxaca[23], había aprobado sus respectivas leyes, pues a diferencia de las anteriores, en ellas solo se protegían los datos que estuviesen en posesión de alguna autoridad pública y de manera más reciente, Campeche[24], Veracruz[25], Chihuahua[26], Durango[27], Puebla[28] y el Estado de México[29].

De donde se aprecia que, a diferencia de otros textos legales de otros países[30], en México, la protección de los datos se encuentra recogida en dos textos normativos diferentes. Por un lado, la protección de los datos en posesión de los sujetos públicos se encuentra recogida en la LFTAIPG; de otro, los que están en posesión de particulares se van a proteger en la reciente LFPDP, puesto que con la misma se busca proteger “a la persona en relación con el tratamiento que se da a su información en el desarrollo de las actividades que día a día, realizan los entes privados.

A pesar de ello, cabe destacar uno de los argumentos que se dieron previo a la aprobación de la LFPDP en México:

 “…nuestro país se haría más competitivo en el ámbito mundial, ubicándose en posición de privilegiado en el aspecto económico, ya que al contar con una ley específica en la materia, no sólo se permitirá al gobernado ejercer eficazmente un nuevo derecho fundamental, sino que también traerá consigo que nuestro país, pueda ampliar su relación comercial con bloques económicos de la importancia de la Unión Europea, toda vez que nos encontraremos en posibilidades de garantizar conforme a los estándares internacionales, un nivel de protección de datos personales adecuado al prever principios y derechos de protección y una autoridad independiente que los garantice[31].

Cabe mencionar que, tras la aparición de las normas en materia de protección de datos personales, al menos en el Estado mexicano ha correspondido a un tiempo y a una etapa específica, dado que en cada momento la realidad ha sido distinta, por lo que ofrecer unas garantías a los ciudadanos, iba a obedecer a cada momento en que se hacía presenten la necesidad de garantizar los datos personales de los ciudadanos.

La importancia del reconocimiento a la Protección de los Datos Personales en la Ley Fundamental.

Tras la publicación en el Diario Oficial de la Federación del “Decreto por el que se adiciona un segundo párrafo al artículo 16 constitucional…”[32], se estaba reconociendo la existencia de un nuevo derecho, distinto a los que ya se encontraban recogidos en Ley Fundamental mexicana. Poniéndose con ello fin al camino que se había iniciado años atrás[33].

El nuevo texto que aludía a la existencia de un nuevo derecho se ha recogido en los siguientes términos:

“Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros…”

El camino para llegar a este texto no fue fácil, pues, el legislador tuvo que reconocer la existencia de un catálogo abierto de derechos, en este caso, estaba dotando de un nuevo derecho a los ciudadanos, a fin de que ellos pudieran tener pleno poder de disposición sobre sus datos personales. Puesto que, además de tratarse de una prerrogativa fundamental, con la misma podría generarse una mayor seguridad a los datos que estuviesen en posesión de entes tanto públicos como privados y con la cual podría garantizarse una mayor protección a la privacidad de las personales.

Lo anterior, además tiene su razón de ser en la necesidad de amparar los derechos y libertades de las personas físicas, para hacer frente a los nuevos riesgos y amenazas que surgen como consecuencia del uso e implementación de las nuevas tecnologías de la información y comunicación en la sociedad actual. Tal como se puso de manifiesto en el Dictamen emitido por la Comisión de Puntos Constitucionales de la Cámara de Diputados[34], donde se puso de manifestó que:

“… Sin duda, es necesario la protección jurídica de los datos personales, ya que el tratamiento por mecanismos electrónicos y computarizados que se han incorporado de manera creciente a la vida social y comercial, ha conformado una cuantiosa red de datos que, sin alcanzar a ser protegidos por la ley, son susceptibles de ser usados de ilícita, indebida o en el mejor de los casos inconvenientemente para quienes afectan. Si a ello se le suma el importante papel que las bases de datos desempeñan en el mundo tecnificado y globalizado…[35]. 

En definitiva, se trata de nuevos argumentos a los que no se habían hecho alusión desde la aprobación de la Constitución Mexicana en 1917. Los cuales han sido la base de este nuevo derecho, en virtud de que es la primera vez que se hace mención a los riesgos que puede ocasionar el uso de las computadoras y el tratamiento que éstas podían hacer de los datos almacenados en ellas y no solo a su concepto, tal como había acontecido tras la aprobación de la LFTAIP y posteriormente con la reforma al artículo 6º constitucional.

En otras palabras, el derecho de acceso a la información se ha constituido en México como la prerrogativa que tiene toda persona para acceder a la información, creada o administrada por parte de las entidades públicas”, al mismo tiempo que la protección de los datos personales se ha constituido como una limitante al ejercicio de aquél derecho. Lo cual no implica que ambos pierdan su esencia, más bien, se complementa y dan vida al catálogo de derechos que se encuentra recogidos en el texto constitucional mexicano.

[1] Dicha reforma se llevó a cabo el 20 de Julio de 2007.

[2] El citado artículo a la letra señala que “[…], Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: I. Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo federal, estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público en los términos que fijen las leyes. En la interpretación de este derecho deberá prevalecer el principio de máxima publicidad. II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos […]”.

[3] Cfr. Carbonell, M. (2008). El Régimen Constitucional de Transparencia. México. Universidad Nacional Autónoma de México/Instituto de Investigaciones Jurídicas, p. 25.

[4] El texto original enunciaba: Artículo 6º.- La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado.

[5] Cfr. López Ayllón, S. (2000). El Derecho a la información como Derecho Fundamental. En Carpizo, J. y Carbonell, M. Derecho a la Información y Derechos Humanos. Estudios en Homenaje al Maestro Mario de la Cueva. México. Universidad Nacional Autónoma de México, pp. 157-179.

[6] Conclusión que se desprende de la Exposición de Motivos y de la incorporación de esta modificación dentro de la iniciativa de reforma constitucional, denominada “La Reforma Política de 1977” del 5 de Octubre. Para un mayor estudio véase Rojas Caballero, A. (2003). Las Garantías Individuales en México. Su Interpretación por el Poder Judicial de la Federación. México. Porrúa, pp. 623-650.

[7] De esta formulación el citado autor señala que el derecho a la información consiste en que “cualquier individuo puede, en relación con el Estado, buscar, recibir o difundir –o no buscar, no recibir, ni difundir– informaciones, opiniones e ideas por cualquier medio, y que tal individuo tiene frente al Estado un derecho a que éste no le impida buscar, recibir o difundir –o no lo obligue a buscar, recibir o difundir– informaciones, opiniones e ideas por cualquier medio. Vid. López Ayllón, S. (2000). op cit., p.163.

[8] Cabe destacar de los tres aspectos en donde a) el atraerse información, incluye las facultades de acceso a los archivos y documentos públicos; b) a informar, se incorporan las libertades de expresión y de imprenta; y, c) a ser informado en donde se establecen las facultades de recibir información objetiva y oportuna –enterarse de todas las noticias– con carácter universal –que la información sea para todas las personas sin exclusión alguna–. Vid. Villanueva, E. (2003). Derecho de Acceso a la Información Pública en Latinoamérica: Estudio Introductorio y Compilación. México. Universidad Nacional Autónoma de México.

[9] Ídem.

[10] Para un mayor alcance sobre estas consideraciones pueden verse las siguientes resoluciones emitidas por la propia Suprema Corte de Justicia de la Nación de los Estados Unidos Mexicanos “Derecho de Información. Su Ejercicio se Encuentra Limitado tanto por los Intereses Nacionales y de la Sociedad, como por los Derechos de Terceros”, en Semanario Judicial de la Federación, Pleno de la Suprema Corte de Justicia, Novena Época, Tomo XI, Abril de 2000, p. 74; así como, “Derecho a la información. La Suprema Corte de Interpretó Originalmente el Artículo 6º Constitucional como Garantía de Partidos Políticos, Ampliando Posteriormente ese Concepto a Garantía Individual y a Obligación del Estado a Informar Verazmente”, en Semanario Judicial de la Federación, Pleno de la Suprema Corte de Justicia, Novena Época, Tomo XI, Abril de 2000, p. 72.

[11] Ídem.

[12] Publicada en el Diario Oficial de la Federación el 11 de Junio de 2002.

[13] Se trata de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial dela Federación, el 5 de julio de 2010.

[14] Dicha Ley “tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal”. Fue publicada en el Diario Oficial de la Federación el 11 de junio de 2002.

[15] Cfr. Carbonell, Miguel, El Régimen Constitucional de Transparencia. op. cit., p. 25.

[16] Luego de haberse incorporado al texto constitucional esta facultad, el Congreso contaba con un plazo no mayor de 12 meses, contado a partir de la entrada en vigor del presente Decreto.  El cual había fue publicado en el Diario Oficial de la Federación, el 30 de abril de 2009.

[17] Otras normas en las que se recogían de alguna manera aspectos vinculados con la protección de datos personales se encuentran la Ley Orgánica de la Administración Pública Federal (Artículos 27, Fracción XXI), el Código Fiscal de la Federación (Artículos 17-D, 27, 29, 30 y 38, Fracción V), la Ley Federal de Telecomunicaciones (Artículos 16, Fracción I, inciso D y 44, Fracción XIII, cabe mencionar que estos artículos fueron reformados el 2 de Febrero de 2009), la Ley Federal del Trabajo (Artículos 121, 320 y 544), la Ley de Instituciones de Crédito (Artículos 987 y 117-118), el Código Federal de Procedimientos Penales (Artículos 16, 128 y 193 Quintus), la Ley de Población (Artículos 14, 91, 98, 100, 103y 107), el Código Civil Federal (Artículos 1916 y 1917), la Ley de Amparo (Artículo 184, Fracción III) e incluso, la propia Ley Federal de Transparencia. Solo por citar algunas.

[18] Vid. Artículo 6. Fracción I de la Constitución mexicana y el artículo 1º de la LFTAIPG.

[19] “La presente Ley será aplicable a los datos de carácter personal que sean registrados en cualquier soporte físico que permita su tratamiento, tanto por parte del sector público como privado dentro del Estado […]”, artículo 2º de la Ley de Protección de Datos Personales para el Estado de Colima, publica, del 14 de junio de 2003.

[20] “Artículo 5º. De manera enunciativa y no limitativa, son sujetos obligados a garantizar y proporcionar el acceso a la información pública, así como proteger los datos personales que tengan a su cargo: I. las dependencias centralizadas y las entidades paraestatales de la Administración Pública Estatal; […]; XI. En general cualquier servidor público titular de alguna oficina pública o privada que maneje, administre o aplique recursos públicos […]”. Ley de Acceso a la Información Pública y Protección de Datos Personales para el Estado de Tlaxcala, del 10 de diciembre de 2009.

[21] Publicada en la Gaceta Oficial del Distrito Federal, el 3 de octubre de 2008.

[22] Publicada en el Periódico Oficial núm. 80, segunda parte, de 19 de mayo de 2006.

[23] Publicada en el Periódico Oficial, el 23 de agosto de 2008.

[24] Publicada en el Periódico Oficial del Estado, el 9 d julio de 2012.

[25] Publicada en la Gaceta Oficial del Estado, el 2 de octubre de 2012.

[26] Publicada en el Periódico Oficial del Estado, el 31 de enero de 2013.

[27] Publicada en el Periódico Oficial del Estado, el 13 de junio de 2013.

[28] Publicada en el Periódico Oficial del Estado, el 25 de noviembre de 2013.

[29] Publicada en el Periódico Oficial “Gaceta del Estado”, el 31 de agosto de 2012.

[30] Tal es el caso del Estado español,  que recoge la protección de los datos personales en posesión tanto de los sujetos públicos como privadas ha sido recogida en un sólo instrumento legal

[31] Vid. “Dictamen con Proyecto de Decreto por el que se Expide la Ley Federal de Protección de Datos Personales en Posesión de Particulares y se reforman los artículos 3, fracción II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental”, LXI Legislatura, Cámara de Diputados, 22 de abril de 2009, pp.24-25.

[32] “Decreto por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, publicado el 1º de Junio de 2009.

[33] Pues, el primer paso se había alcanzado con la entrada en vigor de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en la cual por primera vez en México se reconoció la existencia de este derecho, en el contexto del acceso a la información pública. Posteriormente, tras aprobación de la reforma al artículo 6o. de la Constitución Política de los Estados Unidos Mexicanos, en el que también por primera ocasión un texto constitucional hace referencia expresa al derecho a la protección de datos, en este caso, como un límite al derecho de acceso a la información.

[34] “Dictamen de la Comisión de Puntos Constitucionales, con proyecto de decreto que adiciona un párrafo segundo al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, publicado en la Gaceta Parlamentaria, el 11 de diciembre de 2008.

[35] Ídem.

Entidades financieras, protección de datos y habeas data en Argentina

finanzas_argentinaPor Romina Florencia Cabrera

Existe una gran variedad de definiciones del concepto de ‘crédito’, y muchos autores han elaborado las propias para trabajar, principalmente, desde el sentido económico. Se puede entender al crédito como el ‘permiso para utilizar el capital de otras personas’, pero también puede verse como ‘un derecho a actuar’ o un ‘poder para obtener bienes y servicios por la promesa de pago en una fecha de terminada’. Con cualquiera de esas definiciones, el crédito es un elemento imprescindible en el sistema económico que representa un derecho presente, a pago futuro. El término proviene del latín y tiene su raíz en la frase ‘lo que es confiado’.

En lo que respecta a los negocios, la palabra adquiere una serie de acepciones: por un lado, una transacción a crédito es un deudor obteniendo un permiso de un acreedor a utilizar su capital, con la promesa de un pago futuro: al crearse esta transacción, se genera un derecho y una obligación. Por otro lado, se lo puede ver como un instrumento financiero, que consiste en una promesa de pago documentada que manifiesta una transacción formal de crédito. De la misma manera puede tratarse de algo establecido con una simple promesa, basada en la buena voluntad del vendedor y la aceptación del compromiso de pago por parte del comprador.

La mayoría de las veces, los vendedores otorgan los créditos una vez realizada una investigación que permita garantizar la solvencia económica por parte del comprador: estar seguro de que podrá pagar conforme con lo estipulado. Sin embargo, la buena voluntad o la firma de la promesa de pago no es lo único que obtiene el vendedor: por el contrario, los créditos siempre tienen una tasa de interés que debe ser pagada, obteniendo una ganancia futura cuando esta sea abonada. Resumamos el concepto: cuando una persona (o empresa) consigue un crédito se compromete a pagar en total un poco más, a cambio de obtener la liquidez y la inmediatez que necesita. Además del otorgamiento de créditos con tasas fijas o variables, hay otras operaciones con crédito entre un banco y los usuarios. Una cuenta de crédito es una cuenta corriente en la que el titular puede disponer de una cantidad superior a su saldo disponible, en tanto que una tarjeta de crédito es un cartón magnético que no solo permite ahorrarse la utilización de dinero en efectivo, sino que da la posibilidad de consumir pagando posteriormente. En ambos casos, se abona el interés correspondiente.

La clasificación de los créditos bancarios se hace de acuerdo con la función que tendrán: un crédito al consumo será para la adquisición de bienes o servicios, mientras que uno hipotecario servirá para la adquisición de una vivienda ya construida (con una hipoteca de garantía). Los créditos prendarios, por otro lado, son los que piden las personas físicas para la compra de un bien mueble, que deberá ser aprobado por el banco que le otorgue el crédito.[1]

Entidad de Crédito. Se entiende por “entidad de crédito” toda sociedad que tenga como actividad típica y habitual recibir fondos del público, en forma de deposito, préstamo, cesión temporal de activos financieros u otras análogas, que llevan aparejada la obligación de su restitución, aplicándolos por cuenta propia a la concesión de créditos u operaciones de análoga naturaleza (Redactado por Ley 26/1998 de 29 VII, para España).[2]

La protección de Datos Personales es fundamental para resguardar la identidad, información personal y de trasacciones comerciales y financieras , tan expuesta a delitos y otra defraudaciones; y sobre todo, para asegurar el éxito del o los objetivos del negocio, ya sea por un particular o por una persona de existencia ideal, ya que la competencia desleal y el espionaje industrial puede resultar perjudicial para las operaciones de la empresa o particular.

Nos ocuparemos de la cuestión en la República Argentina, mi país de origen y residencia.

El Artículo 26 de la Ley 25.326 de Protección de Datos Personales, enumera las normas jurídicas en relación a la prestación de servicios de información crediticia: 1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés. 3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión. 4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho. 5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

La ley tiene por objeto .la protección integral de los datos personales.. Antes de su sanción, en doctrina se discutían diversas opiniones en cuanto a los derechos amparados

por la norma constitucional. En la parte dogmática de la Ley Fundamental, capítulo segundo, en “Nuevas Declaraciones, Derechos y Garantías”, en el hábeas data ,en el art. 43 de la Constitución

Nacional., coexistían teorías restrictivas que opinaban que el bien jurídico tutelado era el derecho a la intimidad y otras más amplias, que abarcaban el derecho a la intimidad

y otros valores. La ley afirma la finalidad de garantizar el derecho al honor y a la intimidad de las personas, como también el acceso a la información que de ellas se encuentre registrada. La Cámara Nacional de Apelaciones en lo Comercial,Sala B, ha expresado: .El bien jurídico protegido por el hábeas data es la veracidad de la información.[3].Guillermo Peyrano, por su parte, expresa: La tutela perseguida por la ley de protección de datos personales encuentra también sus raíces en el reconocimiento de la dignidad humana, que exige el respeto del ser humano más allá de sus manifestaciones corpóreas, a través del reconocimiento de su intimidad, honor, etc..[4].

El proceso de habeas data, acción de tutela jurídica efectiva, del derecho procesal constitucional, se consagra en nuestro ordenamiento con la figura procesal del amparo. Se diferencia de la protección de datos personales, que es un Derecho autónomo e independiente, entendido así por la Agencia Española de protección de datos.

El Proceso de habeas data

“A decir de García Belaúnde En la Argentina no existe el habeas data como proceso autónomo, sino el amparo en su vertiente protectora del dato; o sea se lo reconoce como una sub-especie del amparo. Pero pese a no existir, la doctrina de manera dominante y cierta jurisprudencia aceptando este hecho, tiende a denominarlo como habeas data, ya que de esta forma es más específico y más preciso en su protección.

Si basamos la naturaleza jurídica del habeas data en estas características, no cabe duda que Argentina tiene un proceso constitucional propio logrado desde la interpretación amplia del artículo 43 de la Constitución. Pero además, el capítulo VII de la ley sancionada incorpora una “acción de protección de datos personales” que se aleja del modelo amparista, pese a que el artículo 37 declara aplicable el procedimiento de este proceso constitucional.

El habeas data es un proceso constitucional

El derecho a la intimidad como género que caracteriza la defensa de la privacidad, del honor, la imagen, la reputación, la identidad, entre otros derechos, es el fundamento de la garantía que tutela el habeas data.

Al ser garantía, es la herramienta procesal que la Constitución dispone para afianzar el cumplimiento de los derechos fundamentales; por eso, a partir del derecho de amparo creado por la Constitución Nacional, se perfila este proceso constitucional específico de protección a la persona agredida o amenazada por los bancos de datos que aprovechan la información personal que le concierne.

El habeas data no es un derecho fundamental stricto sensu –dice de Slavin-, sino que se trata de un proceso constitucional. Nos hallamos frente a un instrumento procesal destinado a garantizar la defensa de la libertad personal en la era informática.

La calidad de los derechos a proteger le otorga esa base constitucional que torna al habeas data como un instrumento procesal irremplazable e incondicionado.

Es un proceso constitucional “autónomo”

La autonomía del habeas data como proceso diferente al amparo se sostiene por la identidad propia que tiene el objeto a demandar. Se tiende a proteger los datos personales de la persona que se han ingresado en un archivo, registro o banco de datos.

Es verdad que la definición del modelo amparista de cada lugar determina el perfil que puede revestir al proceso de protección de datos personales, y a su vez, ocupar más o menos espacios que la tradicional herramienta enumera como derechos de acceso, actualización, rectificación, exclusión y confidencialidad de los datos.

En nuestro país, la inclusión del “habeas data” entre los contenidos del derecho de amparo, no puede llevar a confundir la naturaleza jurídica del mismo.

Actualmente, el nuevo artículo 43 de la Constitución Nacional significa un cambio fundamental en el tratamiento del tradicional proceso de amparo. Ha dejado de ser una figura procesal para constituirse en un “derecho” o “garantía” específico, cuya principal concreción es instalar el derecho al amparo.

Por ello, el criterio que observa al amparo como juicio está abandonado, para convertirse en la garantía por antonomasia; la única herramienta disponible para actuar los derechos fundamentales de inmediato, sin mediateces ni postergaciones.

De este modo, el artículo 43 promete, en realidad, una tutela judicial rápida y expedita, y con varias finalidades que seguidamente enumera:

  • Amparo contra actos u omisiones de autoridades públicas.
  • Amparo contra actos u omisiones de particulares.
  • Amparo contra la inconstitucionalidad de las leyes.
  • Amparos especiales según se trate de “cualquier forma de discriminación”, “protección del ambiente”, “derechos de la competencia”, “derechos del usuario y consumidor”.
  • Amparo colectivo, para los derechos de incidencia general que se encuentren afectados (derechos de pertenencia difusa).
  • Habeas data.
  • Hábeas Corpus.

Cada uno tiene una finalidad específica e inconfundible, y no pueden tramitar por carriles comunes porqué ellos son independientes. La comunión que los encuentra está en la “tutela judicial efectiva” que cada derecho establece, y las reglamentaciones deberán señalar los procedimientos pertinentes.[5]

Cuidemos los datos personales; auto regulemos nuestra información y defendamos nuestros derechos y respetemos nuestras obligaciones con los demás, creando una cultura de protección de datos, la Iniciativa de este Excelente Observatorio Iberoamericano de Protección de Datos.

[1] http://concepto.de/credito/
Portal Educativo; fecha de consulta del sitio web: 21/8/2014.

[2] http://www.euroresidentes.com/empresa_empresas/diccionario_de_empresa/finanzas/e/entidad-de-credito.htm;
Fecha de consulta del sitio web: 21/8/2014.

[3] MARTINEZ, MATILDE SUSANA, “ Habeas Data Financiero”. Ediciones de la República. Pablo Ugalde Editor. Año 2009. Argentina. Página 137 .Mimbielle, Carlos A. v. Banco Credicoop Cooperativo Ltdo.., del 30/6/2005, JA 2007-IV-Síntesis.

[4]MARTINEZ, MATILDE SUSANA, “ Habeas Data Financiero”. Ediciones de la República. Pablo Ugalde Editor. Año 2009. Argentina. Página 137 PEYRANO, G. F., Régimen…, cit., p. 22.

[5] Publicación del Dr. Pablo A. Irigoyen, sitio web:
http://limpiesuveraz.blogspot.com.ar/2009/01/decir-de-garca-belande-en-la-argentina.html
Fecha de la consulta: 20/8/2014. Extraido de “El proceso de habeas data en la nueva ley de protección de datos personales”, por el Dr. Osvaldo Alfredo Gozaini.(www.portaldeabogados.com.ar).

¿Las bases de datos de los empleados están sujetas a la ley colombiana de habeas data?

gente_trabajandoPor Heidy Balanta

Esta pregunta es muy común por parte de las organizaciones, y la respuesta es afirmativa.

La ley 1581 de 2012, es clara al afirmar que los principios y disposiciones contenidos en ella, son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública y privada.

No hay motivo para que estas bases de datos no estén sujetas a la ley de habeas data, primero, porque como cualquier base de datos personales que no tenga las medidas de seguridad adecuada, puede presentarte para abusos, lo que claramente vulnera el derecho al habeas data.

La empresa por ser la persona jurídica que realiza dicho tratamiento, esta obligada a cumplir con los derechos del responsable del tratamiento de datos personales, estos son, entre otros a:

  • Conservar la información bajo las condiciones de seguridad necesarias que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y para la atención de consultas y reclamos.
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

Es importante que la empresa ajuste los contratos, acuerdos, políticas necesarias para recabar el consentimiento del trabajador y de los futuros trabajadores, sin importar el tipo de contratación a realizar, el cual quede expresamente señalado el consentimiento dado por el trabajador, recuerde que con el silencio no se presume el consentimiento.

La Superintendencia de Industria y Comercio mediante concepto número 1713980 de 2013, ha establecido que “Los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad especifica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta posterior.

Se entiende que el titular de la información ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito; (ii) sea oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación del titular que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca.

Habeas Data: situación venezolana

habeasdata_venPor Stephany Ascanio M.
Facultad de Ciencias Jurídicas y Políticas de la Universidad Central de Venezuela

Con el auge de la informática en la sociedad y la utilización de grandes registros de datos de carácter personal surge el habeas data con el objeto de preservar el derecho a la intimidad y el honor de las personas. El “Habeas Data” comprende aquella posibilidad que tiene cualquier ciudadano de acceder a los registros para conocer los datos de carácter personal almacenados en ellos, esto con el fin de preservar los derechos fundamentales como privacidad,  intimidad, honor y reputación. Numerosos autores venezolanos realizaron un estudio referente al artículo 28 de la Constitución de la República Bolivariana de Venezuela con la finalidad de determinar los derechos y garantías tutelados, logrando con ello determinar la finalidad del habeas data.

El habeas data es un derecho reconocido en varios países como Austria, Francia, Suecia, Chile, Alemania, Colombia, Brasil entre otros; siendo en Suecia donde se sancionó la Primera Ley Nacional de Protección de Datos del mundo (1.973). La base legal de esta institución del hábeas data se inspira en la Declaración Universal de los Derechos Humanos y diversos tratados internacionales, a su vez, la Comisión Interamericana de Derechos Humanos, expone los términos  por la cual todo ciudadano posee una garantía de acceso a información sobre sí misma contenida en base de datos o registros (públicos o privados) y, la posibilidad de actualizarla, rectificarla, suprimirla o cancelarla, si fuese necesario.  Esta acción adquiere una importancia aun mayor con el avance de nuevas tecnologías.

En Venezuela a la entrada en vigencia de su carta magna, se recoge por primera vez de manera oficial el habeas data, como figura que protege estos derechos de la personalidad; de modo que cualquier persona que se vea afectada dentro de su ámbito privado puede ejercer tal acción contra el responsable.  El hábeas data, tiene por finalidad impedir que se conozca la información contenida en los registros de datos relacionados con las personas titulares del derecho que interpone la acción, cuando dicha información esté referida a aspectos de personalidad que están directamente vinculados con su intimidad; este a su vez presupone que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros.

El derecho a la libertad informática es la potestad que tiene el individuo de acceder, conocer y controlar su información de carácter personal; con este derecho se busca proteger sus datos personales. Estos derechos han sido una novedad dentro de las garantías constitucionales pero, es gracias al gran número de portales webs, programas y  hasta redes sociales, que aun siendo manipuladas por cada usuario su mala utilización puede llegar a vulnerar los derechos que el habeas data busca proteger (intimidad, reputación, honor y privacidad); por lo que ha originado la necesidad de regular el acceso y manipulación de tal información suministrada; este instrumento jurídico permite gestionar el dato en cuestión de una forma rápida y urgente, para subsanar la falsedad que pueda implicar. Se trata de una herramienta jurídica destinada a la prevención y defensa de las personas contra toda posible lesión y en resguardo de la buena fe de la información.

La Superintendencia ordena bloqueo la página web DataJurídica.com por violación al Habeas Data

candado

Por 

La Superintendencia de Industria y Comercio ha ordenado el bloqueo del sitio web www.datajuridica.com por presunta violación de los datos personales de miles de ciudadanos colombianos, mediante la resolución 42412 de 2014.

“La orden impartida por la SIC se adoptó luego de haber recibido más de 35 reclamos de ciudadanos que han denunciado que el portal www.datajuridica.com publica información incompleta, desactualizada y fuera de contexto sobre procesos judiciales en los que los reclamantes han sido parte, cobra por el acceso a dicho contenido y no provee mecanismos que le permitan a los ciudadanos corregir, actualizar o eliminar la información errada” dijo la Superintendencia de Industria y Comercio.

Uno de los principios vulnerados por la actividad de esta página web, es el de veracidad o calidad, el cual establece que la información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error, así mismo incumplio con los deberes de los responsables y encargados del tratamiento de datos de información personal.

Cabe advertir que las multas que establece la ley 1581 de 2012, son de caracter  personal e institucional  y van hasta 1.200 millones de pesos, así mismo establece el cierre temporal o definitivo de las operaciones relacionadas con el tratamiento de datos personales

Análisis de la Ley nicaragüense de Protección de Datos Personales

leyes_nicaragua_pd

Por Jorge Luis Garcia Obregon

La Ley 787, Ley de Protección de Datos Personales fue publicada en La Gaceta, Diario Oficial del 29 de Marzo del 2012. Cuenta con 56 artículos, divididos en IX capítulos. Los abordaremos someramente sin entrar a fondo en ellos, pues no es el criterio de su servidor transcribirles la normativa sino más bien denotar las particularidades e importancias de la misma.

El Capitulo I aborda generalidades, como objeto y ámbito de aplicación de la norma, entendiéndose que es la protección de datos personales, automatizados o no, de toda persona natural o jurídica, y el manejo de esta información en ficheros públicos o privados. También, encontramos algunos conceptos propios de la materia donde resaltan los siguientes:

-Autodeterminación Informativa: Definiéndolo como el derecho que tiene toda persona a saber ¿quién?, ¿cuándo?, ¿con qué fines? y ¿en qué circunstancias? toman contacto con sus datos personales. A mi criterio este concepto esta muy reducido, pues la normativa lo ha limitado “a saber”, cuando en realidad es un derecho fundamental derivado del derecho a la privacidad y por ende el individuo conserva la facultad de ejercer el control total y absoluto sobre su información personal.

-Bloqueo: entendiéndolo como la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.

-Consentimiento del titular: Manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el titular de los datos consiente el tratamiento de sus datos personales. Este ítem amerita atención primordial, pues en la práctica no es así. Los comercios, bancos, financieras, etc, imponen al consumidor el firmar un formulario, de lo contrario no hay transacción económica. ¿Dónde esta la libre voluntad? ¿Se informa específicamente que es el documento a firmar? Tales presupuestos me despiertan leve sospecha que se estén cumpliendo a cabalidad. Esto demuestra que el camino para lograr una tutela jurídica efectiva, el camino es largo, ¡pero posible! Creo que es una situación de educación a los comerciantes…

-Clasificación de los datos personales: La norma los clasifica en Datos personales (puros y simples): refiriéndosea la información sobre una persona natural o jurídica que la identifica o la hace identificable. Datos personales informáticos: Son los mismos datos personales pero tratados a través de medios electrónicos o automatizados. Datos personales sensibles: Concernientes a toda información que revele el origen racial, étnico, filiación política, credo religioso, filosófico o moral, sindical, relativo a su salud o vida sexual, antecedentes penales o faltas administrativas, económicos financieros; así como información crediticia y financiera y cualquier otra información que pueda ser motivo de discriminación.Datos personales relativos a la salud:sólo pueden ser los relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional. Datos personales comerciales:son datos sensibles de las Empresas las bases de datos de clientes, proveedores y recursos humanos, para fines de publicidad y cualquier otros datos que se consideren información comercial o empresarial reservada fundamentalmente para el libre ejercicio de sus actividades económicas.

Disociación de datos: Se refiere al mecanismo para el tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada.

Ficheros de datos: Archivos, registros, bases o bancos de datos, públicos y privados, que contienen de manera organizada los datos personales, automatizados o no.

Fuentes de acceso público: Son aquellos ficheros cuya consulta puede ser realizada por cualquier persona, sin más exigencia que, el abono de una contraprestación.

 -Responsable de ficheros de datos: Es toda persona natural o jurídica, pública o privada, que conforme Ley decide sobre la finalidad y contenida del tratamiento de los datos personales.

-Tercero: ¿Quién es considerado tercero en materia de protección de datos? Es toda persona, pública o privada que realice a su arbitrio el tratamiento de datos personales, ya sea en ficheros de datos propios o a través de conexión con los mismos.

-Tratamiento de datos: Son las operaciones y procedimientos sistemáticos, automatizados o no, que permiten la recopilación, registro, grabación, conservación, ordenación, almacenamiento, modificación, actualización, evaluación, bloqueo, destrucción, supresión, utilización y cancelación, así como la cesión de datos personales que resulten de comunicaciones, consultas, interconexiones y transferencias.

¿Cómo opera el consentimiento del titular de datos? ¿Cuales son las excepciones?

El titular de los datos deberá por sí o por medio de apoderado dar el consentimiento para la entrega de los datos. Siendo necesario otorgarlo por escrito o por otro medio idóneo, físico o electrónico. Se podrá revocar sin efecto retroactivo. No será necesario el consentimiento cuando: a) Exista orden judicial; b) Los datos personales se sometan a un procedimiento previo de disociación; c) Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; y d) Los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento.

De esta pregunta me surge otra más, ¿Como se garantiza la validez de un consentimiento enviado por email? ¿Quién valida que el titular del email sea la misma persona? Con tantas facilidad que encuentras en la red para abrir cuentas comerciales de email (gmail, live, Outlook, yahoo, etc, etc,), pensaríamos que se puede desvirtuar fácilmente la garantía de credibilidad del titular de la cuenta. En otras legislaciones se han dado las soluciones acordes por medio de leyes específicas, pero en lo que respecta a Nicaragua se carece de normativas para este concreto, solo podemos tomar como referencia fiable las opciones que nos brinda la ley de Firma Digital, pero ese es otro tema.

El capitulo II habla de los responsables de los ficheros de datos. Abordando la obligación principal de informar al obtener los datos personales del titular.

Se estipula la obligación de informar previamente a los titulares de datos personales de forma expresa y clara, de los siguientes aspectos: a) La finalidad para la que serán utilizados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del fichero de datos electrónicos o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga; d) Las consecuencias de proporcionar los datos personales, de la negativa a hacerlo o de la inexactitud de los mismos; e) La garantía de ejercer por parte del titular el derecho de acceso, rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales; f) Cuando los datos procedan de fuentes accesibles al público y se utilicen para hacer envíos publicitarios o promocionales, en cada comunicación que se dirija al titular de los mismos se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten; g) Que los datos sólo pueden ser utilizados para los fines que motivaron su tratamiento; y no podrán ser utilizados para otros fines; h) Los datos inexactos, incompletos, o que estén en desacuerdo con la realidad de los que le corresponden a la persona, serán rectificados, modificados, suprimidos, completados, incluidos, actualizados o cancelados según corresponda; i) La seguridad en el almacenamiento de datos y el derecho de acceso del titular a los mismos; j) La cancelación de los datos personales una vez que hayan dejado de ser necesarios a los fines para los cuales hubiesen sido tratados; k) Las condiciones técnicas mínimas de tratamiento de datos, tales como técnicas de integridad, confidencialidad y seguridad; y l) La prohibición de la creación de ficheros de datos personales que almacenen información de datos sensibles.

Con respecto a las medidas de seguridad y confidencialidad en el tratamiento de datos, al igual que en otras legislaciones, el responsable del fichero de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la integridad, confidencialidad y seguridad de los datos personales, y evitar bajo su responsabilidad la adulteración, pérdida, consulta, tratamiento, revelación, transferencia o divulgación no autorizada, detectar desviaciones, intencionales o no, de información privada, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. En atención a la confidencialidad, las personas que intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional respecto de los mismos. Subsistiendo aun después de finalizada su relación con el responsable del fichero de datos, pudiendo ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad nacional, defensa nacional, seguridad pública o la salud pública.

Los datos personales se podrán ceder y transferir cuando, previo consentimiento del titular de los datos, al que se le deberá informar sobre la finalidad de la cesión e identificar al cesionario. El consentimiento para la cesión es revocable, mediante notificación por escrito o por cualquier otra vía que se le equipare, según las circunstancias, al responsable del fichero de datos. Este no podrá ser exigido cuando lo disponga una ley, se realice entre instituciones del Estado en el ejercicio de sus atribuciones, se trate de razones de salud pública, de interés social, de seguridad nacional o se hubiere aplicado un procedimiento de disociación de datos, de modo que no se pueda atribuir a una persona determinada.

Será prohibida la cesión y transferencia de datos personales de cualquier tipo con países u organismos internacionales, que no proporcionen niveles de seguridad y protección adecuados. Se exceptúa en los supuestos de colaboración judicial internacional, intercambio de datos personales en materia de salud, cuando sea necesaria para una investigación epidemiológica, transferencias bancarias o bursátiles, conforme la legislación de la materia, cuando la transferencia se hubiere acordado en el marco de tratados internacionales ratificados por el Estado de Nicaragua (como los tratados de intercambio de información tributaria entre México y EEUU) y cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia.

Para la cesión y transferencia de datos personales que se encuentren en ficheros de datos públicos o privados, se hará a solicitud de una persona legalmente autorizada, debiendo detallar el objeto y la finalidad que se persigue con dicha información, asegurando el responsable del fichero de datos cumplir con las medidas de seguridad y confidencialidad de los mismos. Se debe verificar que el solicitante cumpla de igual manera con éstas medidas y sobre todo informar a la persona titular de los datos, la solicitud de transferencia y el propósito que se persigue, para su consentimiento; por ello se deben de tomar las previsiones necesarias para evitar que la información suministrada sea pasada a terceras personas. Toda esta transferencia de datos debe de contar con el aval de la Dirección de Protección de Datos Personales.

¿Qué es el derecho de olvido digital?La ley faculta que el titular de los datos pueda solicitar a las redes sociales, navegadores y servidores que se supriman y cancelen los datos personales que se encuentren en sus ficheros. En los casos de ficheros de datos de instituciones públicas y privadas que ofrecen bienes y servicios y que por razones contractuales recopilan datos personales una vez terminada la relación contractual, el titular de los mismos puede solicitar que se suprima y cancele toda la información personal que se registró mientras era usuario de un servicio o comprador de un bien. Esto dará lugar a reclamos administrativos y judiciales, según sea el caso, contra de algunos monstruos, como google, facebook, youtube, etc, etc

Los derechos del titular de datos, se encuentras contenidos en el capitulo III. Sobresaliendo el Derecho a solicitar información, pues el titular podrá en todo momento solicitar información a la Dirección de Protección de Datos Personales, relativa a la existencia de archivos de él en de ficheros de datos personales, sus finalidades y la identidad de sus responsables. El registro que se lleve al efecto será de consulta pública y gratuita. También podrán solicitar que se le permita rectificar, modificar, suprimir, complementar, incluir, actualizar o cancelar sus datos personales y se podrán abstener de proporcionar datos personales de carácter sensible, pero como explique anteriormente, esto no se está cumpliendo a cabalidad, sobre todo en información financiera.

¿Cómo modifica el titular sus datos? Anteriormente se explicó que el titular podía solicitar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales, que estén incluidos en un fichero de datos. Pues, los datos de carácter personal, explicamos, se deben cancelar cuando dejen de ser necesarios o cumplan la finalidad que dio lugar a su tratamiento o cuando el responsable no cumple con la obligación de garantías mínimas. Esto deja abierta la acción de protección de datos consignada en la ley. Si los datos se modifican, también se le notificar al cesionario, en caso de cesión, para se cancele el tratamiento correspondiente. Cuando se siga un procedimiento de verificación y rectificación del error o falsedad de los datos personales que conciernen al titular, el responsable del fichero de datos debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto. El obligado se puede negar a la rectificación ó modificación, según sea el caso, cuando exista una resolución judicial que determine la no modificación.

Con respecto a los ficheros y responsables de ficheros de datos personales, contemplados en el capitulo IV, es necesario aclarar que los responsables de estos deben inscribirse en el Registro de ficheros de datos que posee la Dirección de Protección de Datos Personales y esperar en el plazo de ley la resolución de su inscripción.

El registro de ficheros de datos debe recabar la siguiente información: a) Nombre y domicilio del responsable, entendiéndose como persona natural o jurídica con toda la descripción de la razón social, fecha de constitución, objeto y representante legal; b) Naturaleza de los datos personales contenidos en cada fichero de datos; c) Forma, tiempo y lugar de recolección y actualización de datos; d) Destino de los datos y personas naturales o jurídicas a las que pueden ser transmitidos; e) Modo de interrelacionar la información registrada; f) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos; g) Tiempo de conservación de los datos; y h) Forma y procedimientos en que las personas pueden acceder a los ficheros de datos personales para realizar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los mismos según concierna. En los ficheros ninguna persona podrá poseer datos personales de naturaleza distinta a los declarados, cualquier modificación a la información contenida en los ficheros de datos personales debe ser comunicada por el responsable a la Dirección de Datos Personales.

Los ficheros de datos destinados al envío de publicidad, promociones, ofertas y venta directa de productos, bienes y servicios u otras actividades análogas sólo pueden incorporar datos personales con el consentimiento del titular de los mismos, cuando ésta los ha facilitado, o cuando los datos obren en fuentes accesibles al público. Este es uno de lo más polémicos bancos de datos de las personas, debido al irregular uso que se da hoy en día, saturando de marketing a las personas, tanto en la red como fuera de ella.

El envió de publicidad y promociones, a través de medios electrónicos (sms, email, redes sociales) debe de ser normado, existiendo la posibilidad para el destinatario de expresar su negativa a recibir spot publicitarios y promocionales de bienes y servicios o, en su caso, revocar su consentimiento de una forma clara y gratuita.

Es imperante mencionar que las empresas o instituciones que se dedican a actividades de marketing, envíos publicitarios y promocionales electrónicos deberán protegerse mediante un contrato que establezca que los datos personales que figuran en un fichero de datos han sido obtenidos con el consentimiento inequívoco e informado de los titulares o que estos han sido obtenidos de fuentes de acceso público. Se exceptúan las encuestas de opinión; investigaciones científicas o médicas, y a las actividades análogas, pero sólo serán cedidos previo consentimiento del titular.

El órgano regulador de la analizada ley, es la Dirección de protección de datos personales, cuyas facultades se encuentran contenidas en el capitulo V. Esta adscrita al Ministerio de Hacienda y Crédito Público, con una máxima autoridad administrativa, su función principal es el control, supervisión y protección del tratamiento de los datos personales contenidos en ficheros de datos de naturaleza pública y privada y sus funciones accesorias son:

a) Asesorar a las personas naturales y jurídicas que lo requieran acerca del contenido y alcance de la presente Ley. Facultad, que a mí criterio, hay que observarla detenidamente pues en un proceso administrativo puede verse afectada de parcialidad, por ser Juez y parte. Aunque la Dirección, se aleja de mí criterio, considero que en caso concreto sería oportuno un pronunciamiento de la máxima instancia que aclare esta situación.

b) Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia. Quedando siempre a salvo la vía administrativa para el agraviado que se considere que se esta violentando algún derecho particular.

c) Dictar y vigilar que las normas sobre confidencialidad, integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los ficheros de datos correspondientes.

d) Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los ficheros de datos, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información. Dicha forma se regula en el respectivo reglamento.

e) Imponer las sanciones administrativas que correspondan a los infractores, quedando a salvo el recurso vertical.

f) Formular y presentar las denuncias por violaciones a la ley, ante la autoridad correspondiente;

g) Verificar que los ficheros de datos personales tengan los requisitos necesarios para que proceda su inscripción en el registro correspondiente.

h) Acreditar a los inspectores para la supervisión y vigilancia de los responsables de los referidos ficheros.

i) Fomentar y promover modelos de autorregulación, siempre y cuando sea posible, como mecanismo adicional para garantizar el derecho a la autodeterminación informativa de toda persona, estos modelos buscan un valor añadido en su contenido con respecto a lo dispuesto en la ley y el reglamento.

j) Emitir su criterio técnico en todo proyecto de ley y reglamento que pudieran tener incidencia en la validez y garantía del derecho a la autodeterminación informativa.

k) Divulgar el contenido y extensión del derecho a la autodeterminación informativa a la población y al resto de los Poderes e instituciones del Estado; y

l) Cooperar con otras autoridades de protección de datos a nivel internacional para el cumplimiento de sus competencias y generar los mecanismos de cooperación bilateral y multilateral para asistirse entre sí y prestarse el debido auxilio mutuo cuando se requiera;

Con respecto a los Inspectores, la ley abordó un procedimiento (susceptible de mejora en un reglamento posterior) que consiste en visitas, de verificación y control, mediante las cuales los inspectores, revisan los ficheros de datos con el objetivo de establecer el grado de cumplimiento de las normas regulatorias de esta actividad o de brindar a las autoridades de la Dirección de Protección de Datos Personales mayores elementos de juicio para la adopción de una resolución con afectación a terceros o no.

Por su parte los inspeccionados están obligados a permitir el acceso a los ficheros de datos a los inspectores, facilitar y prestar la colaboración necesaria en la inspección, brindar la información y documentación solicitada, permitir la revisión de los equipos  y cualquier otra actividad requerida por el inspector…

Si en la inspección se detectara y comprobara la existencia de infracciones graves o hechos que puedan constituir delitos, el inspector deberá tomar las medidas preventivas necesarias en presencia de la persona con quien se presentó para hacer la inspección y comunicarlo de inmediato a su superior inmediato para que proceda de conformidad a derecho.

¿Qué se considera infracciones?

La ley las clasifica en infracciones leves y graves, entendiendo como leves: tratar datos personales sin el consentimiento expreso ya sea por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos de su titular, cuanto la ley así lo exija; omitir la inclusión, complementación, rectificación, actualización, supresión o bloqueo, cancelación, de oficio o a petición del titular, de los datos personales que se encuentran en ficheros de datos públicos y privados; incumplir las instrucciones dictadas por la Dirección; obtener datos personales a través de formularios u otros impresos, sin que figure en los mismos, en forma claramente legible, las advertencias que se utilizarán para crear ficheros; y remitir publicidad a través de medios electrónicos, a titulares que han manifestado expresamente su negativa a recibirla.

Como graves se entiende el tratamiento de datos personales por medios fraudulentos o que infrinjan la ley; impedir u obstaculizar el ejercicio del derecho a la autodeterminación informativa al titular de los datos personales, así como negar injustificadamente la información solicitada; violentar el secreto profesional; reincidir en las infracciones leves; mantener ficheros de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad, integridad y confidencialidad requeridas; y obstruir las inspecciones que realice la Dirección.

Pero ¿Que tipo de sanciones se pueden imponer?

En materia administrativa operan el apercibimiento, suspensión de las operaciones relacionadas con el tratamiento de los datos personales y clausura o cancelación de los ficheros de datos personales de manera temporal o definitiva.

Es conveniente aclarar que siempre queda abierta la vía civil y penal para el titular de datos afectado por el actuar del responsable de ficheros de datos.

¿Qué es la acción de protección de datos?

Es cuando el titular de los datos busca la tutela jurídica ante el órgano administrativo, interponiendo la acción de protección de datos personales en esta sede. Se presenta ante la Dirección de Protección de Datos Personales, quien debe de conocer y resolver la denuncia presentada por el titular.

Esta particular acción procede para conocer de los datos personales que han sido objeto de tratamiento en ficheros de datos. Cuando se violenten las garantías de confidencialidad, integridad y seguridad en el tratamiento de los datos personales. En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata. Para exigir su rectificación, actualización, modificación, inclusión, supresión o cancelación. Cuando sean lesionados algunos de los principios que rigen la calidad del tratamiento de datos personales, en el ámbito público y privado.Para acceder a información que se encuentre en poder de cualquier entidad pública y privada de la que generen, produzcan, procesen o posean, información personal, en expedientes, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier documento que la administración pública o las entidades privadas tengan en su poder. Por último, para exigir la rectificación, actualización, modificación, inclusión, complementación, supresión, bloqueo o cancelación de datos personales tratados en ficheros de datos de entidades públicas o de instituciones  privadas que brinden servicio o acceso a terceros, ya sea de forma manual, mecánica o informática, cuando se presuma la falsedad, inexactitud, desactualización, omisión total o parcial o la ilicitud de la información de que se trate.

La Legitimación activa podrá ser ejercida por el titular, sus tutores y los sucesores de las personas naturales, por sí o por intermedio de un apoderado. Cuando la acción sea ejercida por personas jurídicas, deberá ser interpuesta por sus representantes legales o apoderados que éstas designen al efecto. La Legitimación pasiva procede respecto de los responsables y usuarios de los ficheros de datos personales públicos y privados.

Agotada la vía administrativa, mediante resolución emitida por la Dirección de Protección de Datos Personales, el titular de los datos puede hacer uso de la vía jurisdiccional, a través de Recurso de Amparo respectivo.

El reglamento de la ley ya fue publicado en Octubre del año pasado y aclaró las reglas del juego, estableciendo la dinámica de regulación que la ley calló.

 

La necesidad de la protección de datos personales en Nicaragua

nicaragua_lopd

Por Jorge Luis Garcia Obregon

Después de pasar cuatro años por el proceso de formación de la ley en la Asamblea Nacional, en Marzo del 2012 se aprobó la Ley 787, “Ley de protección de datos personales”. Así, Nicaragua mostró un avance significativo en materia de derecho informático, antes de ello no existía una ley ordinaria que normara el tratamiento de datos, permitiendo que la tutela jurídica de ciertos derechos constitucionales, quedara como una moneda al aire. El poder judicial se encontraba atado de manos frente a conductas o prácticas disidentes con la ética empresarial y las buenas costumbres.

Fueron muchos casos los que ameritaron la necesidad de una normativa al respecto, veamos algunos:

– Un buró de crédito que operaba al margen de la ley, sin normativa alguna que regulara sus actividades. Las empresas afiliadas, se obligaban a brindar información financiera de sus clientes, sobre todo los que tenían una conducta crediticia irregular. Este buró, a su vez reportaba el status crediticio del titular a una base de datos automatizada, permitiendo cerrar las referencias comerciales de las personas morosas y obligándolas a normalizar su situación ¡hasta acá era una herramienta eficaz!. El problema sobrevino cuando los usuarios normalizaban su situación y pedían que se les restableciera su solvencia, por diferentes factores, tales como la necesidad de un nuevo financiamiento, optar por un trabajo, donde el requisito es una situación crediticia solvente (mecanismo utilizado por los empleadores que me parece inconstitucional, pues, se limita el derecho al trabajo y se discrimina por una razón económica), ó el simple deseo de pagar y que su situación se normalice. La empresa que prestaba el servicio de consultas de record crediticio cometió varias arbitrariedades, sobresaliendo entre ellas; no restablecer la situación de solvencia de inmediato, dando en algunos casos hasta 5 meses para hacerlo. También, una vez restablecida la situación de solvencia del cliente, siempre se dejaba la bitácora de una referencia crediticia negativa en el pasado.

– Empleados públicos, con una ética dudosa, facilitaban la base de datos del seguro social a empresas de tarjetas de créditos, así podían medir la capacidad de endeudamiento de las personas. Algunos ejecutivos de servicios bancarios, movidos por las jugosas comisiones que ganaban por cada afiliado de tarjetas de créditos, llegaban a los puesto de trabajo de las personas diciéndoles que el banco les había regalado una tarjeta con “X” cantidad de U$ de regalo. En lo personal como abogado ejecutor de créditos, me tocó lidiar con más de un caso así. Recuerdo particularmente a un señor que laboraba como jornalero en los cortes de caña de azúcar de un ingenio, era analfabeto, y al llegarlo a requerir de pago, me menciono con la mayor de las franquezas que él no debía nada, pues, la tarjeta se la habían regalado como bono, al igual que todos los demás trabajadores (siendo alrededor de 2000 campesinos en idéntica condición). ¿Tendría que ver en este ardid recursos humanos del ingenio? Lastimosamente, no pude responderme esa pregunta.

-Empleados bancarios, por intereses personales, facilitaron a algunas personas la base de datos de tarjetas de créditos y esto desencadeno un sin numero de situaciones anómalas.

Producto de lo anterior el 27 de Marzo del 2008 se introdujo un proyecto de ley a la Asamblea Nacional, teniendo como objetivo fundamental: “la protección de la persona frente al tratamiento de sus datos personales, ya sea que estén almacenados en ficheros de datos públicos o privados, automatizados o no. Garantizándole sus derechos constitucionales establecidos en el Artículo 26, de la Constitución Política de Nicaragua, al mismo tiempo esta ley, regulara y facilitara los procesos legales y administrativos, para que el ciudadano pueda protegerse frente al tratamiento de sus datos”[i].

¿La ley de protección de datos personales responde a una necesidad ó es producto de la globalización?

Desde el punto de vista internacional, existen muchos factores que han conllevado a la aprobación de leyes de este tipo a nivel mundial. Un gran número de países han adquirido compromisos en convenios o acuerdos internacionales para regularizar ciertas prácticas legales en pro de la globalización. Uno de ellos es la “propuesta conjunta de estándares internacionales de protección de la privacidad en relación con el tratamiento de datos personales”[ii] que fue retomada por el Departamento de Derecho Internacional (DDI) de la Organización de los Estados Americanos (OEA), invitando a los estados miembros a sumarse en este tipo de iniciativas. La Unión Europea y la Interpol han apoyado también una armonización en este aspecto.

En el marco nacional, las razones se acoplan a una óptica más geográfica, como respuesta a una necesidad local e imperante para la protección del derecho del consumidor frente a las empresas de bienes y servicios, con las que interactúan hoy en día. También, toma relevancia la justificación constitucional y el coloso fenómeno de la dependencia a la tecnología.

La exposición de motivos, que fue retomada en el dictamen de la comisión de la asamblea nacional, expone claramente cual fue el sentir del legislador al querer regular la protección de datos personales del ciudadano frente a las empresas y el Estado, escudriñemos los aspectos mas relevantes:

“…resulta indispensable para complementar las garantías que establece la Constitución Política, en su artículo 26, Toda persona tiene derecho a, su vida privada, y la de su familia. A la inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo. Al respeto de su honra y reputación. A conocer toda información que sobre ella hayan registrado las autoridades estatales, así como el derecho de saber porque y con que finalidad tiene esa información”.

El termino “vida privada” es algo que dentro del derecho tradicional civilista y romanista que impera en la normativa nicaragüense, carece de claridad. La Jurisprudencia nacional no ha hecho un esfuerzo por aclarar el concepto que la ley obvió. En el derecho comparado existen concepciones distintas de este término, encontrándose uno que otro estudio, sin un consenso para la unificación de criterios, significando una cosa distinta en el tiempo y el espacio para diversas codificaciones.

“Se trata ciertamente de una noción compleja, que se encuentra en plena etapa de elaboración, y que debido a esta misma complejidad ha dado lugar a manifestaciones diversas en el derecho comparado. En el Derecho angloamericano, como veremos, irá extendiendo su irradiación, por vía jurisprudencial, hacia ámbitos que pudieron haber parecido insospechados para los primeros sostenedores de la moderna teoría de la privacy, y su misma evolución presenta en el derecho americano problemas variados y muy discutidos por la doctrina. En el derecho continental europeo ha recibido distintas denominaciones y así se habla de “riservatezza”, “derecho a la vida privada”, “derecho a la intimidad”, “derechos pertenecientes a la esfera de la vida privada”, etc.”[iii]

Continuando con el dictamen de la asamblea nacional, tenemos: “ La creciente dependencia de las tecnologías de la comunicación y la información someten a la persona a nuevos y evidentes peligros. No se trata, por supuesto, de detener el desarrollo de una sociedad donde el flujo de informaciones es una promesa de una democracia más participativa, sino de brindar los resguardos necesarios para que ese flujo de informaciones transcurra en el marco del Estado de Derecho.”

Se ha dejado claro por parte del legislador, que la protección de datos no conlleva implícito un control de la información, sino mas bien una óptica de previsión de mecanismos para afrontar cambios sociales y tecnológicos. Pues, el derecho responde siempre al constante de las necesidades de la sociedad. Este es el momento que la normativa se traslade a otra esfera.

“. El actual contexto de desarrollo de la sociedad de la información propone circunstancias en las que es necesario repensar el contenido del derecho a la intimidad y a la privacidad, en virtud de los cambios vertiginosos de las tecnologías de la comunicación y de la información y de las necesidades de protección que las personas tienen frente a nuevos y sutiles peligros de abuso de estas tecnologías, que permiten hoy, de manera ineluctable, la conformación de perfiles de las personas, y un seguimiento constante de sus actividades, deseos y aspiraciones, en una verdadera conquista de la vida interior del ciudadano a través de las tecnologías.”

Es claro que el texto no trata de conceptualizar el derecho de la intimidad y menos el de privacidad, se deja abierto el mismo a las vicisitudes de la tecnología.

Algo, que igualmente no ha quedado claro, es el concepto de: “perfiles de las personas”. Desde el punto de vista psicológico se entiende como las características de aptitudes mentales que caracterizan al individuo y que se determina por medio de pruebas específicas y científicas. Desde el punto de vista social, entendemos como perfil, la ubicación del individuo dentro de clases o grupos sociales.  Asimismo, no podemos pasar por alto el hecho de que en el sector de la informática y, en concreto, de Internet se ha generalizado desde hace unos años el término perfil. En el campo de las redes sociales es donde se emplea aquel para referirse al nombre, a toda aquella información personal que posee y a la imagen que cada usuario presenta en los citados espacios web para darse a conocer o mostrarse el resto de internautas. De esta forma, por ejemplo, en Facebook cada persona elige una fotografía y un nombre con el que el resto de contactos los identificaran[iv].

 La intimidad y la privacidad de los ciudadanos se desarrollan hoy en muy diversos ambientes, no sólo en el hogar y en el ámbito familiar. Las crecientes facilidades para la comunicación y el intercambio de información, incluso más allá de las fronteras del país, provocan la necesidad de que tales intercambios sucedan sin que haya riesgos de configurar perfiles de los ciudadanos o abusos de sus datos e información más allá del conocimiento y consentimiento de los afectados.

Se reconoce la importancia de la red. El cloud computing hoy en día genera la necesidad de normar o intentar normar estas interacciones entre los individuos de diferentes nacionalidades y ubicados en diferentes puntos del globo terráqueo.

 Se trata de una regulación propia de la tercera generación de derechos humanos, dirigida a alcanzar para el individuo medios para oponerse a los potenciales riesgos y peligros a los que se enfrenta en la sociedad tecnológica. La base de solidaridad, que es idéntica para todos los derechos humanos de la tercera generación, también contribuye a configurar el derecho a la autodeterminación informativa como un medio de realización de una sociedad más abierta, más democrática, más participativa, resguardando aquellas trincheras donde las posiciones del individuo empiezan a sufrir embates ante las necesidades crecientes de información para la toma de decisiones en los más diversos campos, que pueden promover, junto a sus evidentes beneficios, el enorme peligro de objetivización e instrumentalización del ser humano.

En este punto, a mí criterio, se esta retomando un modelo tradicionalista de derechos humanos. Hoy en día, ya no se habla de derechos humanos de primera, segunda o tercera generación, sino de derechos humanos en general.

Como autodeterminación informativa comprendemos el derecho fundamental derivado del derecho a la privacidad. Especificándose en la facultad que tiene todo individuo de ejercer control sobre su información personal, contenida en registros públicos o privados, específicamente -pero no excluyente – los contenidos en cualquier medio informático.

Con el paso del tiempo, el contenido de este derecho, en virtud de su conexión constitucional a la dignidad humana, obliga a considerar que no sólo abarcaba un espacio libre a injerencias externas, sino que debía garantizar la realización de los derechos fundamentales en contextos nuevos, tecnológicamente avanzados y potencialmente peligrosos para el libre desarrollo de la personalidad de los ciudadanos y ciudadanas.

Se le equipara a un principio fundamental, como es el derecho al respeto de la dignidad humana, y por ende hay que verlo mas como un derecho que una protección estatal.

“…la protección de la persona frente al tratamiento de sus datos personales, constituye una forma de complementar la tutela que ya había recibido por medio del precepto constitucional que contempla la protección de la intimidad y la privacidad”.

Se le reconoce un rango constitucional a la protección de datos personales, dándole carácter de erga omnes a la normativa y abriendo el camino de esta forma a la implementación de otros mecanismos efectivos, para contrarrestar cualquier práctica evasiva que se pueda dar en un futuro cercano.

“Este derecho ostenta diversas características que lo distinguen: se trata de un derecho garantizador y facilitador. No busca obstaculizar o interrumpir el libre flujo de informaciones que hoy caracteriza a las sociedades democráticas, sino preservar la protección de la persona frente a intromisiones no conocidas o no queridas en su ámbito de privacidad. Es una garantía que busca, en suma, a través de principios reguladores, someter el tratamiento de datos personales a estándares de calidad, de transparencia, de sometimiento al fin para el que fueron recabados los datos personales y a fundar su uso y manejo en el consentimiento informado del afectado. Adicionalmente a ello, se ha reconocido la necesidad de una tutela institucional que ayude a prevenir daños a la esfera de derechos de la persona mucho antes de que un tratamiento de datos específicos o una transferencia electrónica de datos transfronteras pueda generar un daño o afectación al derecho de la persona a la autodeterminación informativa”.

Uno de los objetivos torales que se pretenden alcanzar con la normativa, es la internacionalización y armonización de la misma, a través de certificaciones internacionales para los ficheros de datos, intercambio de experiencias con otros países. Existen numerosas organizaciones en todo el mundo especializadas en el tema, como la Red Iberoamericana de Protección de Datos Personales (RIPD).

“ El derecho a la autodeterminación informativa es, pues, el derecho protegido dentro de una perspectiva jurisdiccional de amparo. No obstante, hace falta reconocer legislativamente otra faz trascendente de este derecho: sus perspectivas de control y organización del tratamiento de los datos personales”.

Se abre la vía jurisdiccional del amparo, igual que el habeas data, para reclamar la tutela jurídica de todo acto u omisión, que se considere lesiva del referido derecho. Se deja nuevamente abierta la brecha para regular o crear otros mecanismos más expeditos y eficientes en la tutela del derecho a la autodeterminación informativa.

“ Una regulación normativa del derecho a la autodeterminación informativa, en los términos de la Constitución Política, no puede quedar constreñida a garantizar el acceso a la jurisdicción, aun resulta indispensable, para atender a los estándares internacionales en la materia, ofrecer medios para garantizar que el procesamiento de datos personales que sigue una serie de lineamientos de calidad y de control contra los abusos y el ejercicio abusivo de prerrogativas de vigilancia y perfilado de las personas en la sociedad moderna.”

Se reafirma que es un derecho que no vino para quedarse limitado en esta ley, sino que vino para volverse una disciplina, esta destinado a crecer, ramificarse y consolidarse.

“Las leyes de cuarta generación hacen una apuesta más fuerte por un control autorregulatorio, con más opciones para el tratamiento de datos personales y para una cooperación al nivel transnacional entre las autoridades de control. En esta línea se orienta el presente proyecto de ley”.

Se refuerza la disponibilidad del legislador a que los sujetos de la referida ley, puedan cooperar internacionalmente con los organismos correspondientes, sometiéndose a los lineamientos internacionales, proyectándose de esta forma la internacionalización del derecho positivo nicaragüense.

“ El tratamiento de datos personales es hoy una forma de obtener enormes beneficios en los más diversos campos de la actividad humana en los sectores públicos y privados. Desde la toma de decisiones en el campo de la política pública (salud, educación, prevención y represión del delito, política económica, etc.), pasando por la forma de organizar la sociedad acorde con los cambiantes paisajes del desarrollo de expectativas, hasta llegar a la definición de políticas de trabajo, aseguramiento médico, campañas publicitarias y avituallamiento de supermercados y tiendas, el tratamiento de datos personales de ciudadanos consumidores de servicios es esencial para garantizar el funcionamiento de la economía y de la sociedad”.

Como una película de espías, se le reconoce el valor de la información, es bien sabido que quien maneja la información puede incidir en muchos sectores. Con la implementación del e-government es de interés nacional, implementar mecanismos de protección de datos y más aún los de los ciudadanos.

“ El abuso de las facultades de control y vigilancia de casi todos los aspectos de la vida privada de los ciudadanos puede llevar no sólo a una conquista del mundo de la vida por la vía de la utilización de las tecnologías, sino también a una destrucción de los ámbitos privados, dejando la vida social sin posibilidad de espacios para el impulso de un plan individual, libremente escogido y garantizado”.

Con esta normativa, Nicaragua se prepara a compartir información con los países extranjeros, y limitar a los mismos en el manejo de la información de los nacionales. Hay que recordar que estas interacciones en cloud, trascienden fronteras.

“ El riesgo de un retraimiento de la persona en el ejercicio de sus derechos, ante el temor de la vigilancia y control desmedidos, no sólo del Estado sino también de los particulares, opera en la base misma de la reflexión sobre las condiciones para el desarrollo de una tutela jurídica de este derecho. En virtud de lo anterior, se han venido desarrollando doctrinal y legislativamente algunos principios rectores de la protección de datos personales; estos principios orientan la forma en que debe darse el tratamiento de los datos personales”.

Se persigue generar confianza en el sistema informático, tutelando los derechos de los usuarios a fin que puedan brindar su información a las entidades sin el temor que la misma pueda ser utilizada para fines perversos. Se dan las bases para que el sistema jurisdiccional pueda ejercer su función y comenzar a crear la respectiva jurisprudencia sobre la materia.

“ En cuanto al libre flujo de informaciones y datos, elemento indispensable para la forma de desarrollo económico de los países en clave tecnológica, las directrices prestan importancia a que los Estados presten atención a que este flujo debe ser libre sin más restricción que el cumplimiento de estos principios, de tal forma que las reexportaciones de datos no se conviertan, por ejemplo, en una forma de burlar las leyes que protegen el derecho a la autodeterminación de los ciudadanos o se haga hacia países que no contemplan los mismos principios de resguardo a los datos personales”.

Con esta justificación se reconoce la importancia comercial de la protección de datos, abriendo las puertas a tratados o convenios de reciprocidad de la información, y fomentando las puertas a un comercio internacional, prestamos internacionales, y el gran número de negocios que se están trasladando a la red.

“ Hay una prohibición del tratamiento de datos de carácter sensibles, tales como las preferencias sexuales, el origen racial, las convicciones religiosas, la adopción de determinado credo o ideología, estado de salud, información genética, etc. Sin embargo, esta prohibición admite excepciones, por ejemplo, podrá llevarse un registro completo de condenas penales, pero bajo el control de las entidades estatales respectivas (artículo 6). Se podrán llevar, por ejemplo, registros de datos particulares, siempre que el derecho interno prevea las garantías apropiadas”.

Se reconoce el concepto de información sensible, prohibiendo su intercambio y estableciendo las excepciones a la regla. Estas excepciones se verán en la práctica, en el caso del ejemplo propuesto por el texto, se establece que se guardarán las informaciones por condenas penales, pero ¿Qué pasa si ya se cumplió la condena? Pues, a mi criterio debería de borrarse todo registro (a excepción de los que guarda la Policía Nacional), ya que el individuo ya saldo su deuda con la sociedad, situación similar ocurriría con el moroso que solventa su situación crediticia.

“se contempla el principio de seguridad de los datos, proveyendo protección contra la destrucción accidental o no accidental, así como contra el acceso, la modificación o la difusión no autorizados”.

Dentro de los principios de la protección de datos, encontramos el principio de seguridad de los datos, que nos expresa cuales son las condiciones mínimas en que se deben recoger, almacenar y custodiar los datos personales con el propósito de proteger la intimidad y los derechos fundamentales que hemos abordado anteriormente.

“ La protección de la intimidad y de la privacidad también ocupa un lugar preponderante en documentos internacionales en materia de derechos humanos. Entre ellos se puede citar, la Declaración Universal de Derechos Humanos, la Convención Americana sobre Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos, y la Directiva 95/46/CE del Parlamento y Consejo Europeo.

 En concreto, la Declaración Universal de Derechos Humanos, dispone en su artículo 12, el derecho de las personas a no ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia. Asimismo, el derecho a ser protegida por la ley contra las injerencias o ataques a sus derechos. El Pacto de San José de Costa Rica o Convención Americana sobre Derechos humanos, en su artículo 11, establece el derecho que tiene toda persona a que se respete su honra y su dignidad. Derecho que extiende a no ser objeto de injerencias en su vida privada, en la de su familia, el domicilio o en su correspondencia. En caso de ataques o injerencias, la persona tiene derecho a recibir protección de la ley. De la misma forma, el Pacto Internacional de Derechos Civiles y Políticos, en su artículo 17, dispone que toda persona tiene derecho a que se respete su honra y su dignidad. Tiene derecho a no ser objeto de injerencias en su vida privada, en la de su familia, el domicilio o en su correspondencia. En caso de ataques o injerencias, tiene derecho a recibir protección de la ley”.

Podemos observar, en estas motivaciones que llevó consigo el dictamen favorable de la ley de protección de datos, que hay un especial énfasis de la normativa en cuestión, por respetar los derechos humanos, poniendo sobre todas las cosas la intimidad del individuo. Se denota los intentos de equiparar la norma como un derivado conexo y sustancial del derecho fundamental de la dignidad humana.

“ En la última parte del siglo XX y a comienzos de este siglo XXI ha habido un movimiento fuerte y sostenido a la incorporación legislativa del derecho a la autodeterminación informativa en el ordenamiento jurídico tanto en Europa como en América Latina, Dicho movimiento se explica, no sólo por la necesidad de completar el esquema de garantías del individuo en una sociedad marcada por el signo tecnológico, sino para proveer a un desarrollo económico consistente con el respeto a dichas garantías”.

“ En algunos países incluso el constituyente ha reconocido la necesidad de que el derecho a la autodeterminación informativa pase a formar parte del elenco de derechos fundamentales incluido en la Carta Magna”.

FUNDAMENTACIÓN CONSTITUCIONAL

La base legal del acceso a la información pública, tienen su fundamento en la Constitución Política de la República de Nicaragua de 1987, así como las reformas parciales dictadas posteriormente.

Nuestra Carta Magna, en su Artículo 26, estable que: “Toda persona tiene derecho a, su vida privada, y la de su familia. A la inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo. Al respeto de su honra y reputación. A conocer toda información que sobre ella hayan registrado las autoridades estatales, así como el derecho de saber porque y con que finalidad tiene esa información...

De conformidad con el Arto. 66, “Los nicaragüenses tienen derecho, a la información veraz, Este derecho comprende la libertad de buscar, recibir y difundir información e ideas, ya sea de manera oral o escrito, gráficamente o por cualquier otro procedimiento de su elección

De conformidad con el Arto. 67. El Derecho de informar es una responsabilidad, social y se ejerce con estricto respeto a los principios establecidos en la constitución. Este derecho no puede estar sujeto a censura, sino a responsabilidades ulteriores establecidas en la ley. 

Según el Arto. 68,…los nicaragüenses tienen derecho de acceso a los medios de comunicación social y al ejercicio de aclaración cuando sean afectados en sus derechos y garantías.

Transcritas las anteriores normas constitucionales, queda demostrado la necesidad y obligación del estado de introducir el concepto autodeterminación informativa en el ordenamiento jurídico y que este no sólo sea un complemento al esquema de derechos fundamentales del ciudadano, sino que a las garantías adicionales que se requiere para dar al derecho de acceso a la información pública un adecuado contexto de funcionamiento.

[i]Texto tomado de la exposición de motivos de la ley de protección de datos personales de Nicaragua. Website: http://www.asamblea.gob.ni

[ii] Documento elaborado en el marco de la “Conferencia Internacional de las Autoridades de Protección de Datos y Privacidad”, que se celebra anualmente y reúne a las autoridades de más de 50 países pertenecientes a todos los continentes.

[iii] Christian Suárez Crothers, EL CONCEPTO DE DERECHO A LA VIDA PRIVADA EN EL DERECHO ANGLOSAJÓN Y EUROPEO. Revista de Derecho Valdivia, Vol. XI, diciembre 2000, pp. 103-120.

[iv] Extraído de http://definicion.de/perfil

Protección de datos personales: un derecho (y un deber) poco desconocido

lopd_peru

Por Cynthia Téllez Gutiérrez

Hoy 8 de mayo se cumple un año de la entrada en vigencia de toda la Ley 29733, Ley de Protección de Datos Personales, y de su Reglamento. Esta normativa busca proteger la información personal de todos los ciudadanos cuyos datos sean tratados en el Perú. Es decir: funciona como un seguro para las personas en caso se detecte algún tipo de abuso en el uso en su información en el ámbito comercial, financiero o por contratos de diverso tipo.

La ley y su reglamento también establecen parámetros para transferir, vender y compartir la información de los ciudadanos, sea que esta se comparta con un el bodeguero, una empresa, una tienda por departamentos o hasta una entidad pública como RENIEC. A pesar de esta especificidad, y de los esfuerzos de la Autoridad de Protección de Datos Personales, los alcances de esta normativa no han llegado a toda la población. El derecho a la protección de los datos personales sigue siendo un derecho desconocido.

En nuestra época los datos personales suelen ser de dominio público: desde antes de nacer nuestros datos personales interactúan con terceros (hospitales, tiendas de bebes, entre otros); y la información de nuestras actividades, perfiles y de identificación son un activo comercial cuya actualización a lo largo de nuestra vida se convierte en un insumo importante para diferentes mercados de consumo. Los peruanos no somos conscientes aún de esta apreciación económica del uso de nuestros datos, por lo que la mayoría de ciudadanos no sabemos cómo parar las intromisiones en nuestra vida a pesar de ya tener un derecho constitucional y una normativa especializada en nuestra defensa.

La Legislación peruana ha encargado a todas las entidades públicas o privadas, sin importar si son nacionales o internacionales, para proteger los datos personales que administren o recolecten.

Si un banco de datos personales fue creado antes del Reglamento de la Ley, entonces el responsable legal de dicha base de datos personales tendrá hasta el 8 de mayo de 2015 para implementar todas las exigencias legales de la Ley y su Reglamento.

Por ejemplo: debe asegurarse de contar con las autorizaciones de la personas para usar y tratar sus datos, y que estas autorizaciones cumplan con los requisitos legales como que se hayan sido emitidos de forma expresa. También debe implementar medidas de seguridad legales, organizativas y técnicas, realizar la inscripción del banco de datos, notificar ante la Autoridad Nacional del protección de datos personales en caso de exportar el banco al extranjero, entre las principales obligaciones.

Handbook

Las principales obligaciones que todo responsable de una banco de datos personales de administración privada  debe cumplir, sin importar su fecha de creación, se han expuesto en el Handbook Nº6 – Protección de Datos Personales, Entidades Privadas, elaborado por el estudio Iriarte & Asociados.

Las multas por incumplimiento de estas obligaciones serán desde S/.1.900 hasta S/.380.000, además la Autoridad de control puede dictar medidas correctivas y de embargo, que podrían ir desde bloquear el uso de los bancos de datos hasta ordenar la supresión de estos.

La divulgación de este documento es a fin de ayudar a las entidades privadas a cumplir esta normativa, fortalecer la imagen de las empresas como puertos seguros de este tipo de información y agentes confiables tanto para el mercado interno como internacional; además de colaborar en el desarrollo de una cultura de protección de datos personales.

En evidente que la difusión de estas normativas ha sido deficiente dado a su poco alcance tanto para la ciudadanía beneficiada como para las entidades obligadas: según el balance 2013 de la Dirección de Protección de Datos Personales, adscrita al Ministerio de Justicia, el año que pasó se inscribieron sólo 77 bases de datos. Trece de ellas pertenecían a dos entidades públicas, y las 64 restantes a 32 personas jurídicas.

Es cierto que la Autoridad de Protección de Datos Personales no puede obligar a ninguna institución a que inscriba su base de datos en el registro, pero lo que sí puede es realizar inspecciones inopinadas para evaluar si se cumplen con los parámetros establecidos por la ley, y aplicar una sanción de ser necesario.

Artículo publicado por la autora en Iriarte & Asociados.